OAuth協議旨在爲用戶資源的授權訪問提供一個安全、開放標準。平臺商通過OAuth協議,提示用戶對第三方軟件廠商(ISV)進行授權,使得第三方軟件差價能夠試用平臺商的部分數據,對用戶提供服務。與以往的授權方式不同,OAuth協議並不需要觸及用戶的賬號信息,即用戶名密碼,便可以完成第三方對用戶信息訪問的授權。
OAuth核心思想都是將資源做權限分級和隔離,ISV引導用戶在平臺端登錄,完成授權。獲得授權後ISV可以在一定時間段內訪問用戶的私有數據,用戶可以完全把控這一過程。這樣第三方ISV能夠利用平臺商所擁有的一些數據來服務用戶,衛用戶創造價值,形成一個生態系統的閉環。
獲得OAuth協議授權,首先需要第三方開發者向平臺商申請應用ID,即appID,對自己的APP進行註冊。一次OAuth授權涵蓋了三個角色:普通用戶、第三方應用(ISV)、平臺商。OAuth對ISV數據訪問過程如下圖:
OAuth協議在進行協議授權和數據傳輸是,包含的都是敏感度高的內容,味蕾確保通信安全,一般會包含如前文所述的認證過程,如摘要認證過程,簽名認證,HTTPS等
OAuth授權是一個相對複雜的體系,涵蓋系統設計的方方面面,不僅包含之前所說的認證過程,還要解決開發者入駐,權限粒度的控制、token生成和校驗、分佈式session、公私鑰的管理等一系列問題。